רשומות

מציג פוסטים מתאריך 2017

מוצרי אנומליה

תמונה
לא מזמן יצא לי לבחון כמה מוצרי אנומליה. אני לא אזכיר כאן את שמם. רק אגיד שהיו לי ציפיות גבוהות מהמוצרים, והם לא התממשו. אני והצוות שלי ניגשנו למשימה זו עם כל הלב. הכנו כ-30 תסריטים לבחינת מוצרי אנומליה ב-POC שביצענו. בדקנו 4 מוצרים שונים מהמובילים בשוק. ומתוכם אף אחד לא קיבל ציון גבוה.

הבדיקות היו מגוונות וכללו את הנושאים הבאים:

הפעלת תהליכים מתוך MS OFFICE וגם מתוך קבצי PDFהפעלת KEY-LOGGERהפעלת נוזקות CRYPTO LOCKER ידועות (בסביבה מבודדת) ו-ZERO DAYבחינת ניטרול AGENT/SERVICEגישה וביצוע DUMP לתהליכים רגישיםהפעלת תהליכים אינטראקטיביים עם הרשאות SYSTEMהוספת משתמשים ניהולייםביצוע DLL INJECTIONביצוע FILELESS THREAD INJECTIONוכו' כמו שאמרתי תוצאות הבחינה היו לא הכי טובות. על הנייר (במצגת) הכל נראה וורוד וטוב. אך בפועל רוב התסריטים לא התגלו. מסקנה שלי - המוצרים עדיין לא בשלים, וככל הנראה הוונדורים  מבינים מה זה אנומליה, כל אחד בצורה שלו.
המלצה: תבחנו טוב את המוצרים ולא רק על הסמך המצגת, וגם בהיבט הסיכונים שהגדרתם.

נ.ב.: בעכבות הבדיקות שעשינו 2 וונדורים כבר ביצעו שינוים במוצרים שלהם.


www.sh…

חקירות ומסקנות

תמונה
לפני כמה שבועות נפלו עלי כמה פורנזיקות בו זמנית.

על אחד מהן אני רוצה לספר.

במקרה זה הייתי צריך לחקור את נסיון ההונאה בארגון, בעזרת מודול תשלומים באתר האינטרנט. התוקף ביצע טרנזקציה כספית של סכום קטן במקום סכום אמיתי וקיבל אישור.  מודול תשלומים כלל אינטגרציה עם חברת סליקה, וחלק מהדברים כמו שאומרים נפלו בין כסאות, כלומר האינטגרציה בין שתי המערכות אתר האינטרנט ואתר הסליקה היו לא שלמות.
לאחר ניתוח לוגים (שלצערי לא היו מלאים) וישיבה עם המתכנתת מצאנו את הבעיה ושיחזרנו את ההתקפה.

הכשל היה בניהול session. הבעיה הייתה באימות של הטרנזקציה. מזהה של הטרנזקציה לא נכנס ל session ולכן במקומו היה אפשר להשתמש באישור טרנזקציה אחרת.

כמו שמקובל כתבתי דו"ח תחקיר עם ההמלצות ונתתי ללקוח.

המסקנות מהאירוע הן:
1. צריך לעשות הדרכות של פיתוח מאובטח למפתחים.
2. צריך לבצע סקר / בדיקת חדירה / בדיקת קוד לפני שמעלים ליצור מנגנונים קריטיים כגון מודול תשלומים.
3. צריך לקבוע פורמט ללוג אפליקטיבי עבור אבטחת מידע, לצורך ביצוע חקירות.



www.shteinsolutions.com

תרגיל סייבר

תמונה
לפני כמה שבועות העברתי תרגיל סייבר באחד הארגונים. בין הווקטורים שבחרתי היה ווקטור שהיום מאוד פופולרי - תוכנות כופר (Ransomware). תכנתתי עבור זה נוזקה קטנה אשר מצפינה קבצים ב-My Documents, ומעלימה  את הקבצים מקוריים. על מנת לא לגרום נזק לאירגון, את הקבצים המקוריים פשוט שיניתי ל-hidden.

מטרת התרגיל היתה לתרגל את צוות ה-soc בזמן האירוע. כמובן היו גם דברים אחרים בתרגיל, אך הדגש יותר היה על פעולות תגובה, וביצוע forensics.

מבחינת פעולות תגובה, ציפיתי לדברים הבאים:
1. בעת זיהוי אירוע - פתיחת יומן אירועים ותעוד כל השלבים וצעדים
2. במידה  ונוזקה התגלתה דרך פניה בטלפון מהמשתמש - הנחיה מדוייקת למשתמש מה לעשות.
3. ניתוק תחנות הנגועות מהרשת, והעברה לרשת חקירות
4. דגימת זכרון של התחנות הנגועות
5. בחינת הנוזקה במנועי malware analysis
6. הפעלה וליווי צוות Incident Response
7. בניית חמ"ל משותף בין גורמי אבטחת מידע ותשתיות
9. מיגור הנוזקות ע"י זיהוי חתימות והפצה לכלל הארגון
10. חקירת מקור ההדבקה, ואופן ההפעלה
11. בחינת עמידה של צוות SOC בהתקפה מכוונת על הצוות עצמו
12. בחינת זיהוי התנהגות אנו…